Esta táctica de PowerPoint podría ayudar a los piratas informáticos a vaciar su cuenta bancaria
Con varias amenazas de ciberseguridad en constante aumento, ciertamente se siente como si el malware peligroso estuviera a la vuelta de cada esquina. Esta vez, llegó a las presentaciones de PowerPoint disfrazadas de guías útiles sobre cómo protegerse contra el phishing. La ironía de todo esto es fuerte, pero la peor parte es que este malware podría ayudar a los atacantes a vaciar su cuenta bancaria.
Estamos hablando de la extensión del navegador Rilide Stealer Chrome que ha estado dando vueltas últimamente, según lo informado por Bleeping Computer . Desafortunadamente, Rilide está disponible para los actores de amenazas, ya que se vende por $ 5,000 a los ciberdelincuentes, lo que significa que se puede distribuir de varias maneras. Las extensiones de Chrome son solo una cosa, aunque esa parece ser la fuente principal del malware en este momento. La extensión funciona en todos los navegadores basados en Chromium, por lo que no solo es Google Chrome, sino también Brave, Microsoft Edge y Opera.
Para que el malware funcione, los usuarios primero deben descargar esta extensión y, con ese fin, los ciberdelincuentes siguen encontrando nuevas formas de engañar a las personas para que caigan en sus estafas. Más recientemente, Rilide se ha encontrado en correos electrónicos de phishing que pretenden ser productos legítimos de VPN y firewall. En esos correos electrónicos, los piratas informáticos hablan sobre varias posibles amenazas que los usuarios podrían encontrar en línea y ofrecen "orientación" sobre cómo evitarlas, alegando que la extensión puede ayudar.
Aquellos que creen en el contenido de la presentación son dirigidos a una guía sobre cómo agregar esta extensión a Chrome. Los enlaces conducen directamente al malware y, desde allí, la extensión puede ayudar a los atacantes a robar credenciales de inicio de sesión, cuentas bancarias y criptomonedas almacenadas en billeteras digitales. Rilide usa scripts de inyección para lograr esto, y funciona con muchas billeteras criptográficas, proveedores de pago, bancos y servicios de correo electrónico diferentes.
Rilide también se basa en el uso de dominios de typosquatting para engañar a las personas. También conocido como secuestro de URL, esta es una táctica de ciberdelincuencia que se aprovecha de los usuarios que escriben por error la dirección del sitio web incorrecto. Como ejemplo, el usuario podría escribir "Gooogle.com" en lugar de "Google.com". Si la dirección es reclamada por un actor de amenazas, a la persona se le presentará un sitio web que se hace pasar cuidadosamente por varios bancos y proveedores de servicios de pago. Una vez que ingresan las credenciales de su cuenta, es probable que la cuenta sea secuestrada.
Los investigadores encontraron más de 1500 de estos dominios. Algunos de ellos han sido impulsados por el envenenamiento de SEO para clasificarse más alto en los motores de búsqueda populares. Además, los estafadores también recurrieron a Twitter, o más bien a X , para convencer a la gente de que probara la extensión.
La parte más curiosa de Rilide es que parece pasar por alto el Chrome Extension Manifest V3. Este conjunto de restricciones estaba destinado a proteger a los usuarios de la descarga de extensiones maliciosas, pero desafortunadamente, Rilide logró pasar las defensas.
En lo que respecta al malware, Rilide da bastante miedo. No solo puede ayudar a los piratas informáticos a vaciar su cuenta bancaria, sino que también puede atacar desde muchos ángulos diferentes debido al hecho de que se está actualizando y vendiendo activamente a los actores de amenazas. Si desea mantenerse seguro, siga la regla de oro habitual: nunca abra ningún enlace de fuentes en las que no confíe y no descargue extensiones de navegador que no parezcan confiables.
Afortunadamente, parece que Rilide apunta en gran medida a los usuarios empresariales y propietarios de criptografía, pero aún debe estar atento a cualquier extensión sospechosa.